Подготовка домена для установки контроллера домена на Windows Server 2008 R2 | Windows для системных администраторов

Подготовка домена для установки контроллера домена на Windows Server 2008 R2

Перед установкой первого контроллера домена на Windows Server 2008 R2  в существующий домен (Windows 2000, Windows Server 2003 или Windows Server 2008), вы должны подготовить лес и домен Active Directory. Это делается путем запуска утилиты ADPREP. С этой утилитой вы могли познакомится в статье: обновление домена Active Directory в Wndows 2008.

ADPREP расширяет схему Active Directory и обновляет разрешений, необходимые для подготовки леса и домена к внедрению контроллера домена, который работает под управлением ОС Windows Server 2008 R2.

Примечание: Возможно, вы помните, что ADPREP использовался и  в предыдущих версиях Windows Server 2003, Windows Server 2003 R2 и Windows Server 2008. Эта статья специфична для  Windows Server 2008 R2.

Не все версии ADPREP выполняют одни и  те же операции, но, как правило ADPREP выполняет  следующее:

  • Обновляет схему Active Directory
  • Обновляет дескрипторы безопасности
  • Изменяет списки контроля доступа (ACL) на объекты Active Directory и на файлы в папке SYSVOL
  • Создает новые объекты
  • Создает новые контейнеры

Чтобы подготовить лес и домен для установки первого Windows Server 2008 R2 контроллера домена, выполните следующие задачи:

Важно: Если вы планируете просто добавить в  домен рядовой сервер Windows Server 2008 R2 Server, никаких дополнительных действий выполнять не надо!!! Его можно добавить в домен и без расширения схемы J

Во-первых, вы должны рассмотреть и понять схему обновления и другие изменения, которые внесет ADPREP в  Active Directory (AD DS). Вы должны протестировать обновление схемы утилитой ADPREP в тестовой среде, чтобы убедится, что не будет с приложениями, которые работают в вашей среде.

Вы должны сделать резервную копию ваших контроллеров домена, в том числе хозяина схемы и по крайней мере по одному контроллеру домена в каждом домене в лесу AD.

На диске с дистрибутивом Windows Server 2008 R2 нужно найти утилиту adprep.exe (для 64-разрядных серверов) или adprep32.exe (для 32-х разрядных контроллеров домена). Они находятся в папке D:\support\adprep

Для выполнения этой процедуры необходимо использовать учетную запись, которая является членом всех следующих групп:

  • Администраторы предприятия
  • Администраторы схемы
  • Администраторы домена в домене, который содержит хозяин схемы

Зайдите с этой учетной записью на существующий контролер домена и откройте командную строку с правами администратора. Введите команду:

adprep /forestprep

Команда adprep /forestprep

В это  время в схему AD  будут импортированы несколько файлов LDF и сообщения об этом будут отображаться в окне командной строки.

После завершения вы получите сообщение об успешном окончании процесса.

импорт в AD файлов LDF

После окончания этой операции дождитесь пока изменения реплицируются на все контроллеры домена в лесу AD.

В окне командной строки введите следующую команду:

adprep /domainprep

Процесс займет менее  секунды.

Команда adprep /domainprep в Windows 2008 r2

ADPREP должна быть запущена только в Windows 2000 в режиме Native или выше. Если вы попытаетесь запустить ее  в смешанном режиме (Mixed Mode), вы получите ошибку:

Adprep detected that the domain is not in native mode

[Status/Consequence]
Adprep has stopped without making changes.

[User Action]
Configure the domain to run in native mode and re-run domainprep

После окончания этой операции дождитесь пока изменения реплицируются на все контроллеры домена в лесу AD.

Если ваш домен уже работал в режиме Windows 2008 Active Directory, на этом процесс можно считать оконченным, никаких дополнительных задач выполнять не требуется.

Если вы работаете в домене Active Directory Windows 2000, вы должны выполнить следующую команду:

adprep /domainprep /gpprep

Если вы работаете в домене Active Directory Windows 2003, то также никаких дополнительных действий выполнять не нужно. Однако, если вы планируете использовать   контроллеры домена RODC (Read Only Domain controllers), вы также должны набрать следующую команду:

adprep /rodcprep

Если у вас уже запускали эту команду в домене  Windows Server 2008, то вам не нужно запускать ее снова.

Команда отработает за пару секунд.

adprep /rodcprep в Windows Server 2008 r2

Чтобы убедиться, что Adprep / ForestPrep отработала успешно, выполните следующие действия:

1. Зайдите на компьютер с установленной ADSIEdit. ADSIEdit устанавливается по умолчанию на контроллеры домена под управлением Windows Server 2008 или Windows Server 2008 R2. В Windows Server 2003 необходимо установить Resource Kit Tools.

2. Нажмите Пуск -Выполнить, введите ADSIEdit.msc, а затем нажмите кнопку ОК.

3. Нажмите Action, а затем нажмите кнопку Connect to.

4. Нажмите Naming Context, выберите Configuration и ОК.

5. Откройте пункт Configuration, а затем CN = Configuration, DC = forest_root_domain, где forest_root_domain — имя вашего корневого домена.

6. Откройте CN = ForestUpdates.

7. Щелкните правой кнопкой мыши по CN = ActiveDirectoryUpdate, а затем выберите пункт Свойства.

8. Если вы запускали adprep /forestprep для Windows Server 2008 R2, убедитесь, что значение атрибута Revision5, а затем нажмите кнопку ОК.

Определение версии AD

9. В ADSIEdit  перейдите в раздел Schema

10. Щелкните правой кнопкой мыши по узлу CN = Schema, CN = Configuration, DC = forest_root_domain, а затем выберите пункт Свойства.

11. Если вы запускали adprep /forestprep для Windows Server 2008 R2, убедитесь, что значение атрибута objectVersion равен 47, а затем нажмите кнопку ОК.

Текущая версия ADЕсли вы хотите делегировать управление RODC в Windows 2008 — прочитайте эту статью.

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 3

Оставить комментарий
  1. flipp3r | 25.05.2011

    Спасибо!

    Ответить
  2. Sour08 | 15.11.2011

    Спасибо большое!

    Ответить
  3. finncooler | 22.03.2013

    Спасибо, помогло, все толково и доступно.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00110 sec